<img src="https://certify.alexametrics.com/atrk.gif?account=kla4t1zDGU20kU" style="display:none" height="1" width="1" alt="">
Contact us
Request demo →
Contact us
German website
search
close

Hoe websites onopgemerkt voor kwetsbaarheden kunnen zorgen

by Pieter Jansen News 9 Jun 2021

Trouw heeft onderzoek gedaan naar de digitale veiligheid van een groot aantal Nederlandse overheidswebsites. Hierin komt naar voren dat tientallen sites risico’s vertonen, waarbij je met brute forcing binnen zou kunnen komen. Een gemeenschappelijke factor hierin is dat deze sites gebruik maken van WordPress. Maar in hoeverre is dat doorslaggevend voor de risico’s, en waar moet je op letten bij het beveiligen van dergelijke websites?  

Ik heb het onderzoek vanochtend toegelicht in een radio item van BNR. Beluister het fragment.  

wordpress

WordPress is een compleet content managementsysteem dat begin jaren 2000 is ontwikkeld voor bloggers. Sindsdien zijn de mogelijkheden enorm uitgebreid, dankzij een gemeenschap van programmeurs uit de hele wereld, en bedrijven maken er gelikte websites mee. Van de 10 miljoen populairste websites wordt ruim 40 procent gebouwd met WordPress.

Maar de grote toegankelijkheid en mogelijkheden tot uitbreidingen van de software heeft echter ook een nadeel. Doordat veel mensen met het programma overweg kunnen, is een verandering of uitbreiding op bestaande websites snel gemaakt. Hier wordt de beveiliging echter niet altijd op afgestemd. Daarnaast kunnen worden er gemakkelijk nieuwe sites worden aangemaakt, buiten het zicht van IT om. Zo is het overzicht en de controle vanuit een IT beveiligingsperspectief lastig te reguleren. Dat is juist nodig om risico’s zoals verlopen certificaten en gemiste software updates te kunnen voorkomen.

 

Blinde vlekken worden kwetsbare plekken

Dat de onderzochte websites uit het artikel veelal WordPress risico’s vertonen is dan ook niet onlogisch. Vaak gaat het om de WordPress-websites die buiten de officiële spelregels van de organisatie om worden opgezet. Dit soort sites komen vaak in de lucht vanuit onwetendheid, zonder kwaadaardige intenties. Dit noemen we schaduw-IT.

Wij zien dat 80% van alle cyberincidenten gebeuren via dergelijke blinde plekken in de totale aanvalsoppervlakte van een organisatie. Het is immers niet mogelijk een website te beveiligen wanneer het bestaan ervan niet bekend is. En gemiddeld missen grote organisaties tussen de 30 en 50 procent van hun totale aanvalsoppervlak.

Verbonden logins

Waarom is het niet handig om een loginscherm voor beheerders aan het internet te koppelen? Wanneer er een nieuwe kwetsbaarheid wordt ontdekt in WordPress, is het voor aanvallers makkelijk hier misbruik van te maken. Als het beheerscherm niet toegankelijk is voor kwaadwillenden, dan kan het ook niet misbruikt worden.
 
Het is bij meerdere systemen (hier is WordPress een voorbeeld van) relatief eenvoudig om een lijst van gebruikers / namen te achterhalen en daarna een woordenboek-aanval uit te voeren op het login-scherm. Als je eenmaal een werkende gebruikersnaam/wachtwoord hebt weten te achterhalen, zit je binnen in het hart van het content managementsysteem en heb je de volledige controle over de site. 
 

WordPress niet onveilig

Toch is WordPress is niet per definitie onveilig. Maar zodra je functionaliteit of data gaat toevoegen ontstaat het risico. Vaak staat de functionaliteit van een website vooraan, en komt het beveiligen ervan pas later aan bod. Het kost echter veel tijd om dit zelf veilig te doen, en in de tussentijd zorgt het voor kwetsbaarheden in je systemen. Het is daarnaast ook lastig om van buitenaf te zien welke aanvullende maatregelen organisaties hebben getroffen om de site beter te beveiligen.

Nu is het wel goed te vermelden dat zo’n risico niet direct tot een datalek leidt. Maar het geeft aanvallers wel de mogelijkheden om stap voor stap dieper in de systemen te treden, of informatie op te doen voor een ander soort aanval.

hoe op te lossen

Daarom is het belangrijk om de volledige aanvalsoppervlakte van de organisatie in kaart te brengen. Schaduw-IT komt in grote hoeveelheden voor, en de generatie van deze losse eindjes is (bijna) niet volledig te voorkomen. Het is dan ook niet allemaal op te sporen wanneer je vanuit een eigen perspectief naar de digitale omgeving kijkt.

Een geautomatiseerde manier om van buitenaf naar de organisatie te kijken biedt de oplossing. Dit is dan ook dezelfde manier waarop een hacker zoekt naar de meest kwetsbare punten. Door een detectiemethode zonder opgelegd kader te gebruiken worden de omgevingen in kaart gebracht die voorheen aan de aandacht van het IT-team waren ontsnapt.

"That's out of scope" - said no hacker ever.

Ben je benieuwd hoe je geautomatiseerd je aanvalsoppervlak kan monitoren? Lees hier verder.


Lees het volledige artikel in de Trouw: https://www.trouw.nl/economie/de-overheid-kiest-voor-makkelijke-websites-niet-voor-veilige

 

Cybersprint nominated as one of the 10 best cybersecurity providers at Computable

Our team is proud to announce that Cybersprint is nominated for the Computable Awards 2021 in the category Security & Forensics! With our Attack Surface Management platform, we help organisations monitor their attack surface and mitigate the associated risks within. We are pleased that Computable recognises our approach to help make organisations become more digitally secure.

read more

Hoe websites onopgemerkt voor kwetsbaarheden kunnen zorgen

Trouw heeft onderzoek gedaan naar de digitale veiligheid van een groot aantal Nederlandse overheidswebsites. Hierin komt naar voren dat tientallen sites risico’s vertonen, waarbij je met brute forcing binnen zou kunnen komen. Een gemeenschappelijke factor hierin is dat deze sites gebruik maken van WordPress. Maar in hoeverre is dat doorslaggevend voor de risico’s, en waar moet je op letten bij het beveiligen van dergelijke websites?  

read more

Microsoft Exchange CVE: Ransomware attacks incoming

A new wave of ransomware attacks is incoming. The Microsoft Exchange CVEs have already been extensively leveraged by criminals, resulting in secret access paths into organisations. Now, these attacks are waiting to be weaponised. 

read more

Do you have a question?

Our experts have the answers

Contact us